Ende letzten Monats berichteten Computersicherheitsexperten des spezialisierten Unternehmens Mandiant (abhängig von Google), dass die Hackergruppe der nordkoreanischen Regierung bekannt ist als „Kimsuky”versuchte einen Angriff auf das deutsche Unternehmen Diehl Defence, das IRIS-T-Raketen für das Kampfflugzeug KF-21 Boramae der südkoreanischen Luftwaffe herstellt. Es sei daran erinnert, dass der erste Start dieser Raketen aus Südkoreas künftigen Flugzeugen im vergangenen Jahr stattfand, zur gleichen Zeit, als die Meteor-Rakete von MBDA getestet wurde, um ihre Schlagfähigkeit sicherzustellen.

Die Vorgehensweise der Hackergruppe besteht vorerst darin, E-Mails an Mitarbeiter von Diehl Defence zu versenden, in denen ihnen (falsche) Möglichkeiten angeboten werden, für amerikanische Rüstungsunternehmen zu arbeiten. Die Details werden in einem an die E-Mail angehängten PDF-Dokument gespeichert, das beim Öffnen einen Malware-Download initiiert, der es dem Angreifer ermöglicht, die Aktivität des betroffenen Computers auszuspionieren.

Bei der Erstellung dieser Falschmeldung wurde ein hohes Maß an Sorgfalt angewandt. Dem Mandiant-Bericht zufolge trägt der Server, auf dem der Computerangriff gehostet wurde, den Namen „Überlingen„, identisch mit dem, das Diehl Defence für seine Einrichtungen in Constanta bereitgestellt hat. Im Gegenzug wurden diese Kommunikationen ästhetisch aufgewertet, um die charakteristischen Merkmale von Unternehmen wie Telekom und GMX darzustellen; Dies veranlasste den Forscher Michael Barnhart zu der Feststellung, dass die nordkoreanische Gruppe vor dem Angriff eine gründliche Untersuchung durchgeführt hatte.

Abschließend ist es wichtig zu erwähnen, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach Rücksprache mit lokalen Medien erklärte, dass die Gruppe in letzter Zeit stärker in den Fokus gerückt sei. Kimsuky (manchmal auch genannt APT43) gegen Ziele in Deutschland und beschrieb es als „Deutscher Feldzug„. Allerdings gab das BSI selbst zu, die verdächtige Netzwerkadresse des angegriffenen Servers zu kennen, die auch aus Ermittlungen zu anderen ähnlichen Angriffen hervorgegangen sei.

*Bilder dienen der Veranschaulichung

Sie könnten interessiert sein: Durch Cyberangriffe wird Nordkorea technische Informationen vom K2 Black Panther-Panzer und SIGINT-Flugzeugen der südkoreanischen Streitkräfte stehlen